Dort wo eine manuelle Sourcecodeanalyse auf Sicherheitsprobleme gewünscht oder erforderlich ist, bieten wir mit unserem Verfahren SCA-Quick-Wins einen schlanken und leistungsfähigen Ansatz.
Ein manueller Security Code Review nach klassischem Ansatz wird bei größeren Codeumfängen leicht zu einem 'großen Brocken'. Durch die auftretende Komplexität ist der Blick auf die Sicherheit dann schnell verstellt. Mit unserem allein auf die Web Application Security ausgerichteten schlanken Ansatz konzentrieren wir uns auf die Aspekte, die zu einem Sicherheitsproblem werden könnten.
Wir haben herausgefunden, dass typische Sicherheitsprobleme in modernen Webanwendungen häufig an systematisch identifizierbaren Stellen im Code und der Konfiguration geprüft werden können. Diese "üblichen Verdächtigen" machen einen Großteil der für Sicherheitslücken verantwortlichen Programmierfehler aus. Mit unserem Verfahren SCA-Quick-Wins lassen diese sich mit überschaubarem Aufwand prüfen und die Sicherheit einer Webanwendung beträchtlich erhöhen.
Das Verfahren ist auch bestenes als vorbereitende Ergänzung für einen Penetrationstest geeignet.
Kosten
Unser Vorgehen ist streng budgetgetrieben. Abhängig von Schutzbedarf und Umfang der Webanwendung stimmen wir mit Ihnen im Vorfeld die Testdauer ab. Wir arbeiten dann die Punkte unserer Checkliste von den kritischsten hin zu den weniger kritischen ab. Je mehr Budget zur Verfügung steht, umso umfassender wird die Analyse sein und umso mehr potentielle Problemfelder können geprüft werden. Zu Ihrer Orientierung: Ein typischer mittlerer Umfang liegt bei 3 Personentagen.
Steckbrief
Sie erhalten von uns vorab einen Steckbrief mit Fragen, die uns helfen, Ihre Anforderungen sowie die Umgebung, Randbedingungen und Schwerpunkte zu verstehen. Dabei werden im Idealfall vom Anwendungsverantwortlichen die sicherheitsrelevanten Klassen, Codesegmente, Module und Architekturkomponenten einer Anwendung ausfindig gemacht und eine Auswahl für die Application Security Source Code Analyse getroffen. Dies kann ggf. natürlich auch mit tel. Unterstützung durch uns erfolgen. Dies ist die Grundlage für die darauf folgende Analyse.
Application Security Source Code Analyse
Wir führen bei uns im Haus oder bei Ihnen vor Ort die eigentliche Analyse des Quelltextes Ihrer Anwendung nach der oben beschriebenen Vorgehensweise durch. Die Quick-Wins aus unserem Sündenkatalog sicherheitsrelevanter Programmier- und Konfigurationsfehler beinhaltet u.a.:
- Fehlerhafte Server-Konfiguration (web.xml, web.config, machine.config, config.php, usw.)
- Fehlerhafte Logging-Konfiguration (log4j, log4net, log4php, usw.)
- Fehlerhafte Framework-Konfiguration (Struts, Spring, Hibernate, NHibernate, usw.)
- Fehlerhafte Nutzung von Validatoren
- Cross Site Scripting (XSS) durch fehlerhafte Response-Datenvalidierung im erzeugten HTML
- Möglichkeit der SQL-Injection
- Möglichkeit der LDAP-Injection
- Möglichkeit der XPATH-Injection
- Möglichkeit der OS-Injection
- Möglichkeit der Command-Injection
- Unsicher Shell Aufrufe
- Informationspreisgabe über die Konsole
- Passwörter im Klartext in der Konfiguration
- Passwörter im Klartext in der Logik
- Passwörter im Klartext in Kommentaren
- Cookie-Verwaltung, Nichtverwendung des Secure-Flags
- Cookie-Verwaltung, nicht angemessener Aktionsradius
- Mangelhafte Fehlerbehandlung
- Unsichere API-Aufrufe
- Verwendung mangelhafter cryptographischer Algorithmen
- Verwendung mangelhafter cryptographischer Schlüssel
- Verwendung von unsicheren RNGs
- Nennung von Autoren und Produkten in Kommentaren
- Existens von FIXMEs im Source Code
- Existens von TODOs im Source Code
- Existens sonstiger verdächtiger Keywords ("bypass", "backdoor", usw.)
Ergebnis-Report
Als Resultat unsere Analyse erhalten Sie einen umfassenden Report, der jedes geprüfte Problemfeld beschreibt und die dazu korrespondierenden Stellen im Source Code aufzeigt. Hierbei geben wir allgemeine Hinweise oder Best Practices zur Lösung des Problems. Dies sollte einem Entwickler leicht ermöglichen, die entsprechenden Probleme zu finden, nachzuvollziehen und zu beheben.
Eine Management Summary vermittelt auch den Entscheidern einen Eindruck über den Stand der Anwendung bezogen auf die Code Qualität im Umfeld der Anwendungssicherheit.
Workshop
Falls gewünscht können wir Ihnen und Ihren Entwicklern vor Ort die Ergebnisse der Analyse vorstellen. Dies ist insbesondere bei komplexen Anwendungen sinnvoll, wo dem einzelnen Entwickler das Bild für das Ganze manchmal nicht vollständig vermittelt werden kann. Bitte teilen Sie uns vor Beginn der Analyse mit, ob Sie solch einen Workshop wünschen. Wenn dies nicht der Fall ist werden wir die hierfür nicht in Anspruch genommene Zeit in die Analyse stecken, was natürlich die Resultate erweitern wird.
Zusatzoptionen
Selbstverständlich können wir Ihnen auch umfassende, toolgestützte Source Code Analysen anbieten. Hierfür ist der Erwerb von Analyse-Lizenzen erforderlich, deren Preis sich nach den LOC Ihrer Anwendung bemisst. Gerne unterbreiten wir Ihnen ein individuelles Angebot.
Es ist oft sinnvoll, allen Entwicklern verbindliche Vorgaben an die Hand zu geben, damit eine Anwendung insgesamt sicher, stabil und robust wie aus einem Guss entstehen kann. Insbesondere das Verständnis für die Anwendungssicherheit kann oft noch bei den Entwicklern und dem Betrieb gesteigert werden. Hierfür bieten wir Ihnen Secure Coding Guidelines an, die wir individuell an Ihre Bedürfnisse anpassen. Wir können Sie bei der Einführung von Secure Coding Guidelines, durch Seminare, Hands-On Workshops, Web Application Security Penetration Tests, System Penetration Tests und Absicherung von schlecht wartbaren Legacy-Systemen durch Web Application Firewalls und vieles mehr unterstützen.
Unser Team besteht aus erfahrenen Web Application Security Pen Testern, Enterprise Entwicklern, Administratoren, Sicherheitsberatern und Projektleiten, die in der Lage sind, sich auf die Sprache des Kunden einzustellen und seminarerfahren auf die Wünsche und Nöte der Zielgruppe vor Ort eingehen.